Форум проекта Pro-LDAP.ru
Администрирование OpenLDAP => Конфигурация через cn=config => Тема начата: d06pbiu от 02 Июнь 2015, 09:03:36
-
Всем доброго времени суток!
Вот в чем проблемка, вкратце:
Есть у меня вэб-интерфейс по смене паролей учетных записей пользователей, зайдя на него пользователь может изменить свой текущий (истекший\не истекший) пароль. "Качество" пароля я проверяю сам на стороне клиента (JS'ом) и на сервере (php), в случае если пароль прошел проверку - то просто меняю текущее значение атрибута userPassword, в учетке пользователя, на новый пароль (замену атрибута делаю от имени учетки, для которой разрешен доступ на запись к атрибутам userPassword)... ну и время последней смены пароля корректирую заодно... как то так.
И вот такое дело, захотел прикрутить ppolicy чтоб все проверки осуществлял ldap ( + добавить таки штуки как: предельное кол-во попыток ввода пароля после которого будет происходить блокировка учетки; вести историю паролей - чтоб не вводили одни и те же... ну и прочие интересные штуки).
И вот в чем вопрос: будет ли отрабатывать ppolicy в том случае если изменение пароля будет происходить через мой "супер интерфейс"(т.е. тупой заменой значения userPassword от рута)?
-
Здравствуйте! Простой ответ на Ваш вопрос -- политика будет применяться, но только если пароль меняется с помощью расширенной LDAP-операции Password Modify (RFC 3062 (http://pro-ldap.ru/tr/rfc/rfc3062.html)). Если с помощью обычной операции Modify, то применяться не будет. Впрочем, в man-странице slapo-ppolicy (http://pro-ldap.ru/tr/man/slapo-ppolicy.5.html) об этом говориться, так что Вы и сами, конечно же, знаете.
Более сложный вопрос -- реализация этой расширенной операции на php. Год назад я пытался взять это наскоком -- не вышло, пришлось реализовывать на perl. Если сможете реализовать на чистом php -- обязательно поделитесь кодом!
Егор